docDescargar Presentación
download 
Demanda Transcripción
Descargar Presentación
Seguridad de redes WiFi en las empresas Seguridad de redes WiFi en las empresas Presentada por: Rogelio Biolatto Jefe Seguridad Informatica y Comunicaciones, SanCor Cooperativas Unidas Limitada Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso. Agenda • Caso SanCor • Caso Arcor [email protected] Rogelio Jose Biolatto Agenda • Caso SanCor – Dimensiones organización – Conectividad Wi-Fi principios y políticas – Diseño operativo – Componentes principales [email protected] Rogelio Jose Biolatto Dimensiones Organización SanCor Lácteos • • • • • • • • • • • • • • 59 cooperativas primarias 1350 tambos Empresa Lider en Productos Lácteos 4.200.000 litros diarios de leche 4700 empleados 15 complejos industriales 18 sucursales de ventas Llegada a mas de 30 paises 250 distribuidores minoristas, 140 mayoristas, 1600 supermercados, 80.000 comercios menores 2 Datacenter 39 puntos de red WAN – 56 enlaces de datos 1400 puestos 1100 dispositivos móviles 2700 usuarios en red privada [email protected] Rogelio Jose Biolatto Conectividad Wi-Fi • Información •Factor clave para el negocio •Necesidad de Ubicuidad de acceso desde fuera de la red privada •Riesgos de exposición • Políticas de acceso •Puntos clave : IDENTIDAD •Autenticación para aceptar conexión a la red privada •Doble factor •El equipo (certificado por CA Privada) •El usuario (habilitado por SanCor) •Protección del equipo móvil •Protección de la comunicación •Protección de la Información en su residencia [email protected] Rogelio Jose Biolatto Conectividad Wi-Fi • Protección del equipo móvil •Sistema Operativo y Software de base actualizados a última versión disponible •Protección contra diferentes Malware actualizadas diariamente •Firewall con activación ante exposición en redes extrañas •Proteccion mediante soft de prevención de intrusiones •Seguimiento y control centralizado • Protección de la comunicación • Independiente del medio a usar (Wireless, LAN, 3G) • Uso de Internet sólo para iniciar VPN contra red privada • Filtros de protección de red privada para todos los servicios via Internet • Conectividad Wi-Fi en red privada basada en principios de autenticación 802.1x •Protección de la información •Autenticación basada en certificados de CA privada e Identidad de Máquinas en AD •Accesos en función de nivel de autenticación logrado •Infraestructura de protección y controles en frontera de red LAN Corporativa con WLAN e Internet • PKI, UTM, Proxy reverso, 802.1x, Radius, Vlan´s, etc. Conectividad anterior en LAN privada NB SanCor Externos PC´s Administración SanCor Switch Switch LAN LAN Switch LAN Sucursales en red WAN CA WI FI Switch LAN Servicios Centrales de Red Privada VPN I n t e r n e t Conectividad actual en LAN privada NB SanCor Externos PC´s Administración SanCor WI FI CA Switch LAN Switch LAN 802.1x 802.1x Sucursales en red WAN 802.1x 802.1x Switch LAN Switch LAN Access Point UTM Servicios de autenticacion 802.1x I n t e r n e t Servicios Centrales de Red Privada Modelo basico de red WAN 2 Sucursales Mesh uplink Internet WAN Internet UTM Central VPN Contingencia automatica Control cental tunel CAPWAP Modelo de acceso desde sucursales Firewall VPN IPS 802.1x Portal WEB WF AV Internet UTM Internet Sucursal Tipo UTM UTM SSID: Privado SSID Invitados SSID Gerencial Central Enlace WAN dedicado PKI NAS OTP LAN SSID: Privado : conexión automatica obligatoria a red privada tras autentificación del equipo . SSID Invitados: Acceso a Internet a traves de portal WEB mediante autorizaciones temporales (aislado de red privada) SSID Gerencial : Accesos a Internet con privilegios (aislado de red privada) Componentes protección redes Wi-Fi • CA de red privada • IDM (Servicio de Identidades) • Equipos certificados bajo CA corporativa • NAS Network Access Server (convalida identidades) •Certificadas por CA •Excepciones por MAC Addres • Autenticadores •Access Point + 802.1x •Switchs + 802.1x • UTM (Tratamiento Unificado de Amenazas) • Redundancias • Portal Web para invitados aislados de red privada • Monitoreo de disponibilidad via SNMP Gracias por asistir a esta sesión… Para mayor información: Rogelio José Biolatto [email protected] [email protected] Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en Presentada por: Walter Mondino Gerente Corporativo de Seguridad de la Información, Arcor Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso. Agenda • Caso Arcor – Grupo Arcor hoy – Red Global y Unificada – Para qué NAC en las redes WLAN? – Componentes de la infraestructura, arquitectura métodos de autenticación – Retos Grupo Arcor hoy • Es la principal empresa de alimentos de Argentina • Es el primer productor mundial de caramelos • Es el principal exportador de golosinas de Argentina, Brasil, Chile y Perú • Es una de las empresas líderes de la región a través de Bagley Latinoamérica S.A., la sociedad conformada con el Grupo Danone para los negocios de galletas, alfajores y cereales en Latinoamérica • Exporta a más de 120 países de los cinco continentes Grupo Arcor hoy • Emplea cerca de 20 mil personas de distintas partes del mundo • Posee 39 plantas industriales: 29 en Argentina, 5 en Brasil, 3 en Chile, 1 en México y 1 en Perú • Tiene unidades productivas certificadas bajo las normas internacionales ISO 9000 e ISO 14000 • Cuenta con 13 oficinas comerciales a lo largo de América, Europa, África y Asia, y 19 centros de distribución en Latinoamérica. • Desarrolla sus negocios a través de una gestión sustentable Red Global y Unificada Red Global y Unificada 12.000 Usuarios 2 Data Center 6.000 Desktop 2.500 Dispositivos móviles Para qué NAC en la red WLAN? • Para evitar que dispositivos no autorizados se conecten a la red • Para minimizar la propagación de virus y malware • Prevenir ataques internos y externos • Minimizar la fuga de información no autorizada (Data loss Prevention) • Dar cumplimiento a la política de seguridad de la Compañía • Dar cumplimiento a normas internacionales Como funciona? El suplicante envia credenciales de autenticacion Autenticador envia al servidor de autenticación la solicitud de acceso Servidor verifica validez de credenciales Autenticador Permite o deniega la conexión Componentes de la Infraestructura IDM IC ODYSSEY IDM: Servidor de identidades Suplicante: Cliente instalado en los equipos de la compañía. Utiliza las credenciales del usuario que inicio sesion. AD Se utiliza para la autenticacion de Maquina si no existe una sesion de usuario iniciada Servidor de autenticacion NAC: Se encarga de verificar con IDM la validez del usuario y autorizar o denegar el acceso a la red RED Autenticador: solicita al dispositivo que se conecta las credenciales para acceder a la red y se las envia al IC Arquitectura Métodos de Autenticación • Cliente 802.1x (Odyssey) • Cliente 802.1x nativo (algunos modelos de impresoras y video conferencia) • Mac Address Bypass/Fija (resto de los dispositivos) Retos • Infraestructura heterogénea (diferentes marcas, modelos y características) • Variedad de dispositivos finales (teléfonos, impresoras, relojes, equipos Intel, equipos Apple, equipos de video conferencia) • Movilidad de los dispositivos • Como segurizar equipamiento no compatible • Como resolver incidentes críticos Gracias por asistir a esta sesión… Para mayor información: Walter Mondino [email protected] Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en
